标签: html security iis file-upload
允许用户将HTML文件上传到我们的网络服务器是否存在安全风险?
以下是一些需要考虑的事项:
我更关心系统的风险,而不是用户,因为他们必须是上传文件的人(或已经有权访问其帐户的其他人)。
非常感谢任何建议!
干杯,
答案 0 :(得分:3)
如果有的话,非常小。它是HTML,因此您不会在服务器上执行任何操作。如果它绝对,只有上传者才会看到,那么就没有任何值的XSS或CSRF攻击向量。
您最大的风险可能在于上传功能,并确保没有可以在服务器端执行的恶意负载。